Active Directory ドメインとフォレストの機能レベルを上げる方法
この記事では、Active Directory ドメインとフォレストの機能レベルを上げる方法について説明します。
適用対象: Windows Server 2003
元の KB 番号: 322692
概要
Active Directory Domain Services (AD DS) のWindows Server 2016と新機能の詳細については、「Windows Server 2016のActive Directory Domain Servicesの新機能」を参照してください。
この記事では、Microsoft Windows Server 2003 ベースまたはそれ以降のドメイン コントローラーでサポートされるドメインとフォレストの機能レベルを上げる方法について説明します。 Active Directory には 4 つのリリースがあり、Windows NT Server 4.0 から変更されたレベルにのみ特別な考慮事項が必要です。 そのため、ドメイン コントローラー オペレーティング システムの新しいバージョン、現在、または古いバージョン、ドメイン、またはフォレストの機能レベルを使用して、他のレベルの変更について説明します。
機能レベルは、新しい Active Directory 機能をアクティブにするために Microsoft Windows 2000 Server で導入された混合モードとネイティブ モードの概念の拡張機能です。 一部の追加の Active Directory 機能は、すべてのドメイン コントローラーがドメインまたはフォレストで最新の Windows Server バージョンを実行している場合、および管理者がドメインまたはフォレストで対応する機能レベルをアクティブ化するときに使用できます。
最新のドメイン機能をアクティブ化するには、すべてのドメイン コントローラーがドメインで最新の Windows Server オペレーティング システム バージョンを実行している必要があります。 この要件が満たされた場合、管理者はドメインの機能レベルを上げることができます。
フォレスト全体の最新の機能をアクティブにするには、フォレスト内のすべてのドメイン コントローラーで、目的のフォレストの機能レベルに対応する Windows Server オペレーティング システム バージョンが実行されている必要があります。 さらに、現在のドメイン機能レベルは、既に最新レベルである必要があります。 これらの要件が満たされている場合、管理者はフォレストの機能レベルを上げることができます。
一般に、ドメインとフォレストの機能レベルの変更は元に戻すことはできません。 変更を元に戻すことができる場合は、フォレストの回復を使用する必要があります。 Windows Server 2008 R2 オペレーティング システムでは、ドメイン機能レベルとフォレスト機能レベルの変更をロールバックできます。 ただし、ロールバックは、 Active Directory の機能レベルに関する Technet の記事で説明されている特定のシナリオでのみ実行できます。
注:
最新のドメイン機能レベルと最新のフォレスト機能レベルは、ドメイン コントローラーがグループとして連携して動作する方法にのみ影響します。 ドメインまたはフォレストと対話するクライアントは影響を受けません。 さらに、アプリケーションは、ドメインの機能レベルまたはフォレストの機能レベルの変更の影響を受けません。 ただし、アプリケーションでは、最新のドメイン機能と最新のフォレスト機能を利用できます。
詳細については、 さまざまな機能レベルに関連付けられている機能に関する TechNet の記事を参照してください。
機能レベルを上げる
注意
ドメインに、そのレベルに対して引用されているバージョンよりも前のバージョンのドメイン コントローラーがある場合、または ドメイン コントローラーがある場合は、機能レベルを上げないでください。 たとえば、Windows Server 2008 の機能レベルでは、すべてのドメイン コントローラーに Windows Server 2008 以降のオペレーティング システムがドメインまたはフォレストにインストールされている必要があります。 ドメインの機能レベルを高いレベルに引き上げた後は、フォレストの回復を使用して古いレベルにのみ変更できます。 この制限は、機能によってドメイン コントローラー間の通信が変更されることが多いため、または機能によってデータベース内の Active Directory データのストレージが変更されるために発生します。
ドメインとフォレストの機能レベルを有効にする最も一般的な方法は、 Windows Server 2003 Active Directory の機能レベルに関する TechNet の記事に記載されているグラフィカル ユーザー インターフェイス (GUI) 管理ツールを使用することです。 この記事では、Windows Server 2003 について説明します。 ただし、新しいオペレーティング システムのバージョンでは、手順は同じです。 さらに、機能レベルは手動で構成することも、Windows PowerShellスクリプトを使用して構成することもできます。 機能レベルを手動で構成する方法の詳細については、「機能レベルを表示して設定する」セクションを参照してください。
Windows PowerShell スクリプトを使用して機能レベルを構成する方法の詳細については、「フォレストの機能レベルを上げる」を参照してください。
機能レベルを手動で表示および設定する
Ldp.exe や Adsiedit.msc などのライトウェイト ディレクトリ アクセス プロトコル (LDAP) ツールを使用して、現在のドメインとフォレストの機能レベルの設定を表示および変更できます。 機能レベルの属性を手動で変更する場合は、通常は Microsoft 管理ツールの対象となるフレキシブル シングル マスター操作 (FSMO) ドメイン コントローラーで属性を変更することをお勧めします。
ドメイン機能レベルの設定
msDS-Behavior-Version 属性は、ドメインの名前付けコンテキスト (NC) ヘッド 、つまり DC=corp、DC=contoso、DC=com にあります。
この属性には、次の値を設定できます。
- 値 0 または not set=mixed level domain
- 値 1=Windows Server 2003 ドメイン レベル
- 2=Windows Server 2003 ドメイン レベルの値
- 3=Windows Server 2008 ドメイン レベルの値
- 値 4=Windows Server 2008 R2 ドメイン レベル
混合モードとネイティブ モードの設定
ntMixedDomain 属性は、ドメインの名前付けコンテキスト (NC) ヘッド (DC=corp、DC=contoso、DC=com) にあります。
この属性には、次の値を設定できます。
- 値 0=ネイティブ レベル ドメイン
- 値 1=混合レベル ドメイン
フォレスト レベルの設定
msDS-Behavior-Version 属性は、構成の名前付けコンテキスト (NC) の CN=Partition オブジェクト、つまり CN=Partition、CN=Configuration、DC= ForestRootDomain にあります。
この属性には、次の値を設定できます。
値 0 または not set=mixed level forest
値 1=Windows Server 2003 中間フォレスト レベル
値 2=Windows Server 2003 フォレスト レベル
注:
msDS-Behavior-Version 属性をAdsiedit.msc を使用して 0 の値から 1 の値に増やすと、次のエラー メッセージが表示されます。
変更操作が正しくありません。 変更の一部の側面は許可されていません。3=Windows Server 2008 ドメイン レベルの値
値 4=Windows Server 2008 R2 ドメイン レベル
ライトウェイト ディレクトリ アクセス プロトコル (LDAP) ツールを使用して機能レベルを編集したら、[OK] をクリックして続行します。 パーティション コンテナーとドメイン ヘッドの属性が正しく増加します。 Ldp.exe ファイルによってエラー メッセージが報告された場合は、エラー メッセージを無視しても問題ありません。 レベルの増加が成功したことを確認するには、属性リストを更新してから、現在の設定をチェックします。 このエラー メッセージは、変更がまだローカル ドメイン コントローラーにレプリケートされていない場合に、権限のある FSMO でレベルの引き上げを実行した後にも発生する可能性があります。
Ldp.exe ファイルを使用して現在の設定をすばやく表示する
- Ldp.exe ファイルを起動します。
- [接続] メニューの [接続] をクリックします。
- クエリを実行するドメイン コントローラーを指定するか、空白のままにして任意のドメイン コントローラーに接続します。
ドメイン コントローラーに接続すると、ドメイン コントローラーの RootDSE 情報が表示されます。 この情報には、フォレスト、ドメイン、ドメイン コントローラーに関する情報が含まれます。 Windows Server 2003 ベースのドメイン コントローラーの例を次に示します。 次の例では、ドメイン モードが Windows Server 2003 であり、フォレスト モードが Windows 2000 Server であると仮定します。
注:
ドメイン コントローラーの機能は、このドメイン コントローラーで可能な限り高い機能レベルを表します。
- 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
- 1> フォレスト機能: 0=(DS_BEHAVIOR_WIN2000)
- 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)
機能レベルを手動で変更するときの要件
次のいずれかの条件に該当する場合は、ドメイン レベルを上げる前にドメイン モードをネイティブ モードに変更する必要があります。
- ドメインの機能レベルは、domainDNS オブジェクトの msdsBehaviorVersion 属性の値を直接変更することで、プログラムによって 2 番目の機能レベルに引き上げられます。
- ドメイン機能レベルは、Ldp.exe ユーティリティまたは Adsiedit.msc ユーティリティを使用して、2 番目の機能レベルに引き上げられます。
ドメイン レベルを上げる前にドメイン モードをネイティブ モードに変更しないと、操作が正常に完了せず、次のエラー メッセージが表示されます。
SV_PROBLEM_WILL_NOT_PERFORM
ERROR_DS_ILLEGAL_MOD_OPERATION
さらに、次のメッセージがディレクトリ サービス ログに記録されます。
Active Directory could not update the functional level of the following domain because the domain is in mixed mode.
このシナリオでは、Active Directory ユーザー & コンピューター スナップインを使用するか、Active Directory ドメイン & 信頼 UI MMC スナップインを使用するか、プログラムによって domainDNS オブジェクトの ntMixedDomain 属性の値を 0 に変更することで、ドメイン モードをネイティブ モードに変更できます。 このプロセスを使用してドメイン機能レベルを 2 (Windows Server 2003) に引き上げると、ドメイン モードがネイティブ モードに自動的に変更されます。
混合モードからネイティブ モードへの移行により、スキーマ管理者セキュリティ グループとエンタープライズ管理者セキュリティ グループのスコープがユニバーサル グループに変更されます。 これらのグループがユニバーサル グループに変更されると、次のメッセージがシステム ログに記録されます。
Event Type: Information Event Source: SAM Event ID: 16408 Computer:Server Name Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."
Windows Server 2003 管理ツールを使用してドメイン機能レベルを呼び出すと、ntmixedmode 属性と msdsBehaviorVersion 属性の両方が正しい順序で変更されます。 ただし、これは常に発生するとは限りません。 次のシナリオでは、ネイティブ モードは、スキーマ管理者セキュリティ グループとエンタープライズ管理者セキュリティ グループのスコープをユニバーサルに変更せずに、暗黙的に 0 に設定されます。
- ドメイン機能モードを制御する msdsBehaviorVersion 属性は、手動またはプログラムによって 2 の値に設定されます。
- フォレストの機能レベルは、任意のメソッドを使用して 2 に設定されます。 このシナリオでは、ドメイン コントローラーは、ローカル エリア ネットワーク内のすべてのドメインがネイティブ モードに構成され、必要な属性の変更がセキュリティ グループ スコープで行われるまで、フォレストの機能レベルへの移行をブロックします。
Windows 2000 Server に関連する機能レベル
Windows 2000 Server では、混合モードとネイティブ モードのみがサポートされます。 さらに、これらのモードはドメイン機能にのみ適用されます。 次のセクションでは、Windows Server 2003 ドメイン モードの一覧を示します。これらのモードは、4.0 および Windows 2000 Server ドメインのアップグレード方法Windows NT影響するためです。
ドメイン コントローラーのオペレーティング システム レベルを上げる場合は、多くの考慮事項があります。 これらの考慮事項は、Windows 2000 Server モードのリンクされた属性のストレージとレプリケーションの制限が原因で発生します。
Windows 2000 Server 混合 (既定)
- サポートされているドメイン コントローラー: Microsoft Windows NT 4.0、Windows 2000 Server、Windows Server 2003
- アクティブ化された機能: ローカル グループとグローバル グループ、グローバル カタログのサポート
Windows 2000 Server ネイティブ
- サポートされているドメイン コントローラー: Windows 2000 Server、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
- アクティブ化された機能: グループの入れ子、ユニバーサル グループ、Sid 履歴、セキュリティ グループと配布グループ間のグループの変換、フォレスト レベルの設定を増やすことでドメイン レベルを上げることができます
Windows Server 2003 中間
- サポートされているドメイン コントローラー: Windows NT 4.0、Windows Server 2003
- サポートされている機能: このレベルでアクティブ化されたドメイン全体の機能はありません。 フォレスト内のすべてのドメインは、フォレスト レベルが中間レベルに増加すると、自動的にこのレベルに引き上げられます。 このモードは、Windows NT 4.0 ドメインのドメイン コントローラーを Windows Server 2003 ドメイン コントローラーにアップグレードする場合にのみ使用されます。
Windows Server 2003
- サポートされているドメイン コントローラー: Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
- サポートされている機能: ドメイン コントローラーの名前の変更、ログオン タイムスタンプ属性の更新とレプリケート。 InetOrgPerson objectClass でのユーザー パスワードのサポート。 制約付き委任では、Users コンテナーと Computers コンテナーをリダイレクトできます。
Windows NT 4.0 からアップグレードされたドメイン、または Windows Server 2003 ベースのコンピューターの昇格によって作成されたドメインは、Windows 2000 混合機能レベルで動作します。 Windows 2000 Server ドメイン コントローラーが Windows Server 2003 オペレーティング システムにアップグレードされた場合、Windows 2000 Server ドメインは現在のドメイン機能レベルを維持します。 ドメインの機能レベルは、Windows 2000 Server ネイティブまたは Windows Server 2003 のいずれかに上げることができます。
中間レベル - Windows NT 4.0 ドメインからのアップグレード
Windows Server 2003 Active Directory では、Windows Server 2003 中間という名前の特別なフォレストとドメインの機能レベルが許可されます。 この機能レベルは、1 つ以上の Windows NT 4.0 バックアップ ドメイン コントローラー (BDC) がアップグレード後に機能する必要がある既存の Windows NT 4.0 ドメインのアップグレードに対して提供されます。 Windows 2000 Server ドメイン コントローラーは、このモードではサポートされていません。 Windows Server 2003 中間は、次のシナリオに適用されます。
- Windows NT 4.0 から Windows Server 2003 へのドメインアップグレード。
- Windows NT 4.0 BDC はすぐにアップグレードされません。
- Windows NT 5,000 を超えるメンバーを持つグループを含む 4.0 ドメイン (ドメイン ユーザー グループを除く)。
- フォレストに Windows Server2000 ドメイン コントローラーを実装する予定は、いつでもありません。
Windows Server 2003 中間では、Windows NT 4.0 BDC へのレプリケーションを許可しながら、次の 2 つの重要な機能強化が提供されます。
- セキュリティ グループの効率的なレプリケーションと、グループあたり 5,000 を超えるメンバーのサポート。
- KCC サイト間トポロジ ジェネレーター アルゴリズムの改善。
中間レベルでアクティブ化されるグループ レプリケーションの効率のため、中間レベルは、Windows NT 4.0 のすべてのアップグレードに推奨されるレベルです。 詳細については、この記事の「ベスト プラクティス」セクションを参照してください。
Windows Server 2003 中間フォレスト機能レベルの設定
Windows Server 2003 中間は、3 つの異なる方法でアクティブ化できます。 最初の 2 つの方法を強くお勧めします。 これは、Windows NT 4.0 ドメインのプライマリ ドメイン コントローラー (PDC) が Windows Server 2003 ドメイン コントローラーにアップグレードされた後、セキュリティ グループでリンク値レプリケーション (LVR) が使用されるためです。 セキュリティ グループのメンバーシップでは単一の複数値属性が使用されるため、レプリケーションの問題が発生する可能性があるため、3 番目のオプションはあまり推奨されません。 Windows Server 2003 中間をアクティブ化する方法は次のとおりです。
アップグレード中。
オプションは、新しいフォレストのルート ドメインの最初のドメイン コントローラーとして機能するWindows NT 4.0 ドメインの PDC をアップグレードするときに、Dcpromo インストール ウィザードで表示されます。
ライトウェイト ディレクトリ アクセス プロトコル (LDAP) ツールを使用してフォレストの機能レベルを手動で構成することで、既存のフォレスト内の新しいドメインの最初のドメイン コントローラーとして、Windows NT 4.0 の Windows NT 4.0 PDC をアップグレードする前に。
子ドメインは、昇格先のフォレストからフォレスト全体の機能設定を継承します。 Ldp.exe ファイルまたは Adsiedit.msc ファイルを使用して中間フォレストの機能レベルが構成されていた既存の Windows Server 2003 フォレスト内の子ドメインとしてWindows NT 4.0 ドメインの PDC をアップグレードすると、オペレーティング システムバージョンのアップグレード後にセキュリティ グループがリンク値レプリケーションを使用できるようになります。
LDAP ツールを使用したアップグレード後。
アップグレード中に既存の Windows Server 2003 フォレストに参加する場合は、最後の 2 つのオプションを使用します。 これは、"空のルート" ドメインが配置されている場合の一般的なシナリオです。 アップグレードされたドメインは、空のルートの子として参加し、フォレストからドメイン設定を継承します。
ベスト プラクティス
次のセクションでは、機能レベルを高めるためのベスト プラクティスについて説明します。 セクションは 2 つの部分に分割されます。 "準備タスク" では、増加する前に実行する必要がある作業について説明し、"最適パスの増加" では、さまざまなレベルの増加シナリオの動機と方法について説明します。
Windows NT 4.0 ドメイン コントローラーを検出するには、次の手順に従います。
Windows Server 2003 ベースのドメイン コントローラーから、Active Directory ユーザーとコンピューターを開きます。
ドメイン コントローラーがまだ適切なドメインに接続されていない場合は、次の手順に従って適切なドメインに接続します。
- 現在のドメイン オブジェクトを右クリックし、[ドメイン に接続] をクリックします。
- [ ドメイン ] ダイアログ ボックスで、接続するドメインの DNS 名を入力し、[OK] をクリック します。 または、[ 参照 ] をクリックしてドメイン ツリーからドメインを選択し、[OK] をクリック します。
ドメイン オブジェクトを右クリックし、[ 検索] をクリックします。
[ 検索 ] ダイアログ ボックスで、[ カスタム検索] をクリックします。
機能レベルを変更するドメインをクリックします。
[詳細設定] タブをクリックします。
[LDAP クエリの 入力 ] ボックスに次のように入力し、文字間にスペースを入れないでください: (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))
注:
このクエリでは、大文字と小文字は区別されません。
[ 検索開始] をクリックします。
Windows NT 4.0 を実行し、ドメイン コントローラーとして機能しているドメイン内のコンピューターの一覧が表示されます。
ドメイン コントローラーは、次のいずれかの理由で一覧に表示される場合があります。
- ドメイン コントローラーは 4.0 Windows NT実行されており、アップグレードする必要があります。
- ドメイン コントローラーは Windows Server 2003 にアップグレードされますが、変更はターゲット ドメイン コントローラーにレプリケートされません。
- ドメイン コントローラーはサービスを受けなくなりましたが、ドメイン コントローラーのコンピューター オブジェクトはドメインから削除されません。
ドメインの機能レベルを Windows Server 2003 に変更する前に、一覧内の任意のドメイン コントローラーを物理的に見つけ、ドメイン コントローラーの現在の状態を判断し、必要に応じてドメイン コントローラーをアップグレードまたは削除する必要があります。
注:
Windows Server 2000 ドメイン コントローラーとは異なり、Windows NT 4.0 ドメイン コントローラーはレベルの増加をブロックしません。 ドメイン機能レベルを変更すると、Windows NT 4.0 ドメイン コントローラーへのレプリケーションが停止します。 ただし、Windows Server 2000 のドメインを使用して Windows Server 2003 フォレスト レベルに増やそうとすると、混合レベルはブロックされます。 Windows NT 4.0 BDC の不足は、Windows Server 2000 ネイティブ レベル以降のすべてのドメインのフォレスト レベルの要件を満たすことによって暗示されます。
例: レベルが上がる前の準備タスク
この例では、環境が Windows Server 2000 混合モードから Windows Server 2003 フォレスト モードに引き上げられます。
以前のバージョンのドメイン コントローラーのフォレストをインベントリします。
正確なサーバー リストが使用できない場合は、次の手順に従います。
- 混在レベルのドメイン、Windows Server 2000 ドメイン コントローラー、またはオブジェクトが破損しているか見つからないドメイン コントローラーを検出するには、Active Directory ドメインと Trusts MMC スナップインを使用します。
- スナップインで、[ フォレストの機能を上げる] をクリックし、[ 名前を付けて保存 ] をクリックして詳細なレポートを生成します。
- 問題が見つからなかった場合、Windows Server 2003 フォレスト レベルに増やすオプションは 、[使用可能なフォレスト機能レベル] ドロップダウン リストから使用できます。 フォレスト レベルを上げようとすると、構成コンテナー内のドメイン コントローラー オブジェクトは、 msds-behavior-version が目的のターゲット レベルに設定されていないドメイン コントローラーを検索します。 これらは、破損している Windows Server 2000 ドメイン コントローラーまたは新しい Windows Server ドメイン コントローラー オブジェクトのいずれかであると想定されます。
- 以前のバージョンのドメイン コントローラー、またはコンピューター オブジェクトが破損しているか見つからないドメイン コントローラーが見つかった場合は、レポートに含まれます。 これらのドメイン コントローラーの状態を調査し、Active Directory のドメイン コントローラー表現を Ntdsutil ファイルを使用して修復または削除する必要があります。
詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示します。
216498 ドメイン コントローラーの降格が失敗した後に Active Directory 内のデータを削除する方法
フォレストでエンドツーエンド レプリケーションが機能していることを確認する
エンド ツー エンド レプリケーションがフォレストで動作していることを確認するには、Windows Server 2000 または Windows Server 2003 ドメイン コントローラーに対して、Windows Server 2003 以降のバージョンの Repadmin を使用します。
Repadmin/Replsum * /Sort:Delta[/Errorsonly]
初期インベントリの場合。Repadmin/Showrepl * /CSV>showrepl.csv
. Excel にインポートしてから、Data-Autofilter> を使用してレプリケーション機能を識別します。Repadmin などのレプリケーション ツールを使用して、フォレスト全体のレプリケーションが正しく動作していることを確認します。
すべてのプログラムまたはサービスと、新しい Windows Server ドメイン コントローラー、およびより高い Windows Server ドメインとフォレスト モードとの互換性を確認します。 ラボ環境を使用して、運用環境のプログラムとサービスの互換性の問題を徹底的にテストします。 機能の確認については、ベンダーにお問い合わせください。
次のいずれかのアクションを含むバックアウト プランを準備します。
- フォレスト内の各ドメインから少なくとも 2 つのドメイン コントローラーを切断します。
- フォレスト内の各ドメインから少なくとも 2 つのドメイン コントローラーのシステム状態バックアップを作成します。
バックアウト プランを使用する前に、フォレスト内のすべてのドメイン コントローラーを復旧プロセスの前に使用停止にする必要があります。
注:
レベルの増加を正式に復元することはできません。 つまり、レベルの引き上げをレプリケートしたすべてのドメイン コントローラーは使用停止にする必要があります。
以前のすべてのドメイン コントローラーが使用停止になった後、切断されたドメイン コントローラーを起動するか、バックアップからドメイン コントローラーを復元します。 他のすべてのドメイン コントローラーからメタデータを削除し、再プロモートします。 これは困難なプロセスであり、避ける必要があります。
例: Windows Server 2000 混合レベルから Windows Server 2003 フォレスト レベルにアクセスする方法
すべてのドメインを Windows Server 2000 ネイティブ レベルに増やします。 これが完了したら、フォレスト ルート ドメインの機能レベルを Windows Server 2003 フォレスト レベルに引き上げます。 フォレスト レベルがフォレスト内の各ドメインの PDC にレプリケートされると、ドメイン レベルは自動的に Windows Server 2003 ドメイン レベルに増加します。 このメソッドには、次の利点があります。
- フォレスト全体のレベルの増加は、1 回だけ実行されます。 フォレスト内の各ドメインを Windows Server 2003 ドメインの機能レベルに手動で増やす必要はありません。
- レベルが上がる前に、Windows Server 2000 ドメイン コントローラーのチェックが実行されます (準備手順を参照)。 この増加は、問題のあるドメイン コントローラーが削除またはアップグレードされるまでブロックされます。 ブロックしているドメイン コントローラーを一覧表示し、実用的なデータを提供することで、詳細なレポートを生成できます。
- Windows Server 2000 混合または Windows Server 2003 中間レベルのドメインのチェックが実行されます。 ドメイン レベルが少なくとも Windows Server 2000 ネイティブに増加するまで、この増加はブロックされます。 中間レベルのドメインは、Windows Server 2003 ドメイン レベルに増やす必要があります。 ブロックドメインを一覧表示することで、詳細なレポートを生成できます。
Windows NT 4.0 アップグレード
Windows NT 4.0 のアップグレードでは、PDC がアップグレードされるフォレストに Windows Server 2000 ドメイン コントローラーが導入されていない限り、PDC のアップグレード中に常に中間レベルが使用されます。 PDC のアップグレード中に中間モードを使用する場合、既存の大規模なグループでは LVR レプリケーションがすぐに使用されるため、この記事で前述したレプリケーションの潜在的な問題を回避できます。 アップグレード中に中間レベルに到達するには、次のいずれかの方法を使用します。
- Dcpromo 中に中間レベルを選択します。 このオプションは、PDC が新しいフォレストにアップグレードされた場合にのみ表示されます。
- 既存のフォレストのフォレスト レベルを中間に設定し、PDC のアップグレード中にフォレストに参加します。 アップグレードされたドメインはフォレスト設定を継承します。
- すべてのWindows NT 4.0 BDC をアップグレードまたは削除した後、各ドメインをフォレスト レベルに移行する必要があり、Windows Server 2003 フォレスト モードに移行できます。
中間モードの使用を避ける理由は、アップグレード後、または将来いつでも Windows Server 2000 ドメイン コントローラーを実装する予定がある場合です。
Windows NT 4.0 の大規模なグループに関する特別な考慮事項
成熟したWindows NT 4.0 ドメインでは、5,000 を超えるメンバーを含むセキュリティ グループが存在する可能性があります。 Windows NT 4.0 では、セキュリティ グループのメンバーが変更されると、メンバーシップの 1 つの変更のみがバックアップ ドメイン コントローラーにレプリケートされます。 Windows Server 2000 では、グループ メンバーシップは、グループ オブジェクトの単一の複数値属性に格納されているリンク属性です。 グループのメンバーシップを 1 回変更すると、グループ全体が 1 つのユニットとしてレプリケートされます。 グループ メンバーシップは 1 つのユニットとしてレプリケートされるため、異なるメンバーが異なるドメイン コントローラーで同時に追加または削除されると、グループ メンバーシップの更新が "失われる" 可能性があります。 さらに、この単一オブジェクトのサイズは、データベースへのエントリのコミットに使用されるバッファーを超える場合があります。 詳細については、この記事の「大きなグループに関するバージョン ストアの問題」セクションを参照してください。 このような理由から、グループ メンバーの推奨される制限は 5000 です。
5000 メンバー ルールの例外はプライマリ グループです (既定では、これは "Domain Users" グループです)。 プライマリ グループは、ユーザーの "primarygroupID" に基づく "計算済み" メカニズムを使用してメンバーシップを決定します。 プライマリ グループは、メンバーを複数値のリンク属性として格納しません。 ユーザーのプライマリ グループがカスタム グループに変更された場合、Domain Users グループのメンバーシップはグループのリンク属性に書き込まれ、計算されなくなります。 新しいプライマリ グループ Rid は "primarygroupID" に書き込まれ、ユーザーはグループのメンバー属性から削除されます。
管理者がアップグレード ドメインの中間レベルを選択しない場合は、アップグレードの前に次の手順に従う必要があります。
- すべての大規模なグループをインベントリし、ドメイン ユーザー グループを除く 5000 を超えるグループを特定します。
- 5000 を超えるメンバーを持つすべてのグループは、5,000 人未満の小さなグループに分割する必要があります。
- 大規模なグループが入力されたすべてのAccess Control Listsを見つけ、手順 2.Windows Server 2003 中間フォレスト レベルで作成した小さなグループを追加すると、管理者は 5000 を超えるメンバーを持つグローバル セキュリティ グループを検出して再割り当てする必要が軽減されます。
大規模なグループに関するバージョン ストアの問題
ディープ検索や単一の大きな属性へのコミットなどの実行時間の長い操作中、Active Directory では、操作が完了するまでデータベースの状態が静的であることを確認する必要があります。 ディープ検索や大きな属性へのコミットの例としては、レガシ ストレージを使用する大規模なグループがあります。
データベースの更新がローカルおよびレプリケーション パートナーから継続的に行われているため、Active Directory では、実行時間の長い操作が完了するまですべての受信変更をキューに入れ、静的な状態が提供されます。 操作が完了するとすぐに、キューに登録された変更がデータベースに適用されます。
これらのキューに登録された変更の保存場所は、"バージョン ストア" と呼ばれ、約 100 メガバイトです。 バージョン ストアのサイズは異なり、物理メモリに基づいています。 バージョン ストアが使い果たされる前に実行時間の長い操作が完了しない場合、ドメイン コントローラーは、実行時間の長い操作とキューに入れられた変更がコミットされるまで更新の受け入れを停止します。 多数 (5,000 を超えるメンバー) に達するグループは、大きなグループがコミットされている限り、ドメイン コントローラーがバージョン ストアを使い果たすリスクにさらされます。
Windows Server 2003 では、リンク値レプリケーション (LVR) と呼ばれるリンクされた複数値属性の新しいレプリケーション メカニズムが導入されました。 LVR では、グループ全体を 1 回のレプリケーション操作でレプリケートする代わりに、各グループ メンバーを個別のレプリケーション操作としてレプリケートすることで、この問題に対処します。 フォレストの機能レベルが Windows Server 2003 中間フォレスト レベルまたは Windows Server 2003 フォレスト レベルに上がると、LVR が使用できるようになります。 この機能レベルでは、LVR を使用して、Windows Server 2003 ドメイン コントローラー間でグループをレプリケートします。